— обнаружение и оповещение о событиях ИБ (постоянный или контрактный персонал организации и ее компаний);
— оценку и реагирование на события и инциденты ИБ, их разрешение и улучшения ИБ и самой схемы (группа поддержки, ГРИИБ, руководство, пресс-секретари и юристы);
— оповещение об уязвимостях ИБ (постоянный или контрактный персонал организации и ее компаний) и всего связанного с ними.
Следует также учитывать пользователей сторонних организаций, которые сообщают об инцидентах ИБ и связанных с ними уязвимостях. и, кроме того, государственные и коммерческие организации, предоставляющие информацию об инцидентах ИБ и уязвимостях.
Документация схемы управления инцидентами ИБ должна содержать следующую информацию:
— описание политики управления инцидентами ИБ;
— описание схемы управления инцидентами ИБ в целом;
— подробные действия, процедуры и данные всех фаз управления инцидентами.
Схема должна содержать определенную информацию каждой фазы
Для 1-й фазы — планирование и подготовка:
— стандартизированный подход к категоризации и классификации инцидентов/событий ИБ для обеспечения единого подхода. Во всяком случае решение должно быть основано на фактических или планируемых неблагоприятных воздействиях на бизнес-операции организации и соответствующих директивах;
— стандартизированные форматы базы данных уязвимости / инцидента / события ИБ для обмена информацией, который обеспечивает возможность совместного использования сравнительных результатов сообщений/тревог, улучшает аварийную информацию и допускает более точное представление об угрозах и уязвимостях информационных систем;
— директивы для решения, требуется ли антикризисная деятельность в течение каждого процесса, и для кого и каких процедур. На основании директив по обеспечению документации схемы управления инцидентами ИБ кто-либо, оценивая событие, инцидент или уязвимость ИБ должен знать, в каких обстоятельствах необходимо расширить вопросы, и для кого их нужно расширить. Кроме того, есть непредвиденные обстоятельства, когда это может быть необходимо. Например, незначительный инцидент ИБ смог разростись до серьезного, или кризисная ситуация не была разрешена должным образом, или незначительный инцидент ИБ в течение недели смог стать главным инцидентом ИБ. Директивы должны определить типы событий и инцидентов ИБ, типы антикризисной деятельности и кто может ее инициировать;
— процедуры, которые гарантируют, что все действия по управлению инцидентами ИБ должным образом зафиксированы, и что лог-анализ проводит уполномоченный персонал;
— процедуры и механизмы, которые гарантируют, что режим изменений контроля поддерживается, обеспечивая мониторинг событий, инцидентов и уязвимостей ИБ и обновление отчетов о событиях / инцидентах / уязвимостях ИБ, а также обновление непосредственно схемы;
— процедуры правового анализа инцидента ИБ;
— процедуры и директивы по использованию систем обнаружения вторжения (Intrusion Detection System, IDS) и предотвращения вторжения (Intrusion Prevention System, IРS), которые гарантируют обеспечение связанных с ними правовых и нормативных аспектов. Директивы должны включать перечень преимуществ и недостатков обеспечения контроля вторжений;
— директивы и процедуры взаимосвязаны с техническими и организационными механизмами, которые установлены, внедрены и задействованы для того, чтобы предотвращать возникновение инцидента ИБ и сокращать их вероятность, и обрабатывать инциденты ИБ по мере их возникновения;
— материал для осведомленности и программы обучения по вопросам управления событиями, инцидентами и уязвимостями ИБ;
— процедуры и спецификации для тестирования схемы управления инцидентами ИБ;
— схема организационной структуры управления инцидентами ИБ;
— сферы полномочий и ответственности ГРИИБ в целом и ее членов в отдельности;
— важная контактная информация.
Для 2-й фазы — обнаружение и оповещение:
— обнаружение и оповещение о событиях ИБ (человеком или автоматическими средствами),
— сбор информации о событиях ИБ,
— обнаружение и оповещение об уязвимостях ИБ,
— полная запись всей собранной информации в базе данных уязвимости / инцидента / события ИБ.
Для 3-й фазы — оценка и принятие решения:
— проведение группой поддержки оценки события ИБ (включая, если потребуется, его детализацию), используя принятую шкалу классификации событий / инцидентов ИБ с определением возможности его классификации как инцидента ИБ,
— подтверждение ГРИИБ, является ли событие инцидентом ИБ, поэтому им нужно применять другую оценку, используя принятую шкалу классификации событий / инцидентов ИБ, чтобы подтвердить детали события (потенциального инцидента) и его влияния на ресурс (категоризация). Это нужно завершить решением о том, кто, как и с каким приоритетом обработает подтвержденный инцидент ИБ,
— оценка уязвимости ИБ (которая еще не создала события и потенциальный инцидент ИБ) с принятием решения о необходимости ее обработки, кто, как и в том, какой приоритет.
— полная запись всей информации в базе данных уязвимости / инцидента / события ИБ.
Для 4-й фазы — реагирования:
— отчет ГРИИБ для определения, находится ли инцидент ИБ под контролем, и:
• если инцидент под контролем, инициировать реагирование немедленно (в реальном времени) или позже,
• если инцидент не под контролем или возможно серьезное влияние на критические сервисы организации, инициировать кризисные действия вплоть до эскалации антикризисного управления;
— определение всех функций и организаций (внешних и внутренних), необходимых для схемы управления инцидентами;
— локализация и ликвидация инцидента ИБ путем смягчения или предотвращения расширения границ и степени воздействия инцидента;
— оповещение о существовании инцидента ИБ или любых связанных с этим деталей других внутренних и внешних лиц или организаций;
— документальное завершение и внесение записей об успешнм разрешении инцидента ИБ в базу данных уязвимостей / инцидентов / событий ИБ;
— проведение правового анализа, если потребуется;
— проверка правильности регистрации всей деятельности для дальнейшего анализа,
— сбор и сохранность результатов правовой экспертизы;
— поддержка режима контроля изменений и обновлений базы данных уязвимостей / инцидентов / событий ИБ;
— поиск взаимосвязей с уязвимостями ИБ.
В документации схемы управления инцидента ИБ предусматривается возможность как немедленного, так и более длительного реагирования на инциденты ИБ. Для всех инцидентов ИБ требуется своевременная оценка потенциальных негативных воздействий, как кратковременных, так и более длительных (например, крупномасштабное бедствие может произойти через некоторое время после первого инцидента ИБ). Более того, некоторые виды реагирования могут потребоваться для совершенно непредвиденных инцидентов ИБ, когда возникнет необходимость в специальных защитных мерах. Даже для этой ситуации организация должна включить в схемную документацию общее руководство по таким специальным защитным мерам.
Для 5-й фазы — извлечение уроков:
— идентификация уроков обработки инцидентов и уязвимостей ИБ;
— идентификация и внедрение улучшений средств защиты (новых и/или усовершенствованных) как в соответствии с политикой управления инцидентами ИБ, так и в результате полученных уроков;
— идентификация и внедрение улучшений оценки и управления рисками ИБ в результате полученных уроков;
— рассмотрение, насколько эффективны процессы, процедуры, форматы отчетов и/или организационная структура в оценке каждого инцидента ИБ и восстановлении после него и работе с уязвимостью ИБ, и на основании полученных уроков идентификация и внедрение улучшений схемы управления инцидента ИБ и ее документации;
— обновление базы данных уязвимостей / инцидентов / событий ИБ;
— проведение, если потребуется, дальнейшей правовой экспертизы;
— взаимосвязь и обмен результатами обзора с доверенными сторонами (если организация пожелает).
При разработке схемы необходимо учитывать следующие факторы:
— категории и классы инцидентов;
— формы учета инцидентов;
— рабочие процедуры;
— доверие персонала;
— конфиденциальность информации
Категории и классы инцидентов
Категория инцидента / события ИБ зависит от вида угрозы. Инциденты ИБ могут быть вызваны преднамеренными или случайными действиями человека или природными катаклизмами, техническими или физическими средствами.
Шкала классификацииинцидента / события ИБ зависит от степени серьёзности воздействия инцидентов / событий на активы или бизнес-операции организации.
Такая шкала может быть простой и иметь только 2 класса инцидента:
— значительный;
— незначительный.
Шкалу можно сделать более сложной, имеющую 4 класса инцидента:
— класс IV — очень серьёзный;
— класс III — серьёзный;
— класс II — менее серьёзный;
— класс I — несерьёзный.
Очень серьёзные инциденты — те, которые:
— воздействуют на очень важные ИС,
— приводят к катастрофическим бизнес-потерям или
— вызывают огромные социальные проблемы (увольнения).
Серьёзные инциденты — те, которые:
— воздействуют на очень важные или важные ИС,
— приводят к серьезным бизнес-потерям или
— вызывают большие социальные проблемы (забастовки).
Менее серьёзные инциденты — те, которые:
— воздействуют на важные или обычные ИС,
— приводят к значительным бизнес-потерям или
— вызывают значительные социальные проблемы (митинги).
Несерьёзные инциденты — те, которые:
— воздействуют на обычные ИС,
— приводят к незначительным бизнес-потерям или их отсутствию,
— вызывают незначительные социальные проблемы или их не вызывают,